信息安全研究

Select

1. 我国网络可信身份发展路径探索与展望

杨林, 国伟, 章锋, 郝久月,

信息安全研究 2022, 8 (12): 1236-.

摘要（482）

PDF （1941KB）（90）

当前，世界主要国家高度重视可信数字身份对数字经济发展和网络空间治理的重要支撑作用，纷纷出台战略规划，建立技术体系，完善法律法规，大力推动数字身份体系建设应用.近年来，我国也大力倡导和发展数字经济，数字化服务已深入人民群众生产生活各个方面.在给人民群众带来便利的同时，也产生了一些不容忽视的问题，如传统的基于实体证件的身份认证方式已难以适应网络化、数字化活动需求；个人身份信息滥采、滥用以及泄露问题依然突出，网络诈骗、侵犯公民个人隐私信息等违法案事件时有发生，严重扰乱了社会公共秩序，威胁着人民群众生命财产安全.因此，加快建立符合我国国情的网络可信身份服务管理体系.

参考文献 | 相关文章 | 多维度评价

Select

2. 5G网络商用密码应用研究

唐明环, 彭浩楠, 王伟忠, 查奇文, 王聪,

信息安全研究 2023, 9 (4): 331-.

摘要（475）

PDF （1197KB）（263）

5G作为新一代移动通信网络基础设施，应用场景贯穿工业互联网、能源、交通、医疗、教育等生产生活的方方面面.终端大量接入、大规模网络部署、海量数据汇聚等特点为5G网络带来前所未有的安全风险，5G安全关系到社会发展、经济运行乃至国家安全，逐渐成为近年来国内外研究的热点.密码是保障网络与信息安全的核心技术和基础支撑，我国拥有自主知识产权的商用密码算法ZUC,SM4,SM3,SM2等经过十几年的发展，逐步在维护我国网络空间安全中发挥着越来越重要的作用.从5G网络架构及接口切入，分析了5G网络面临的安全风险，并提出了相应的商用密码应用方案，为5G网络商用密码应用实践提供参考.

参考文献 | 相关文章 | 多维度评价

Select

3. 工业控制系统终端渗透测试应用研究

冯兆文, 马彦慧, 曹国彦,

信息安全研究 2023, 9 (4): 313-.

摘要（428）

PDF （3070KB）（110）

随着工业互联网的发展，设备终端自身的安全问题越来越突出.如何对工业控制系统终端进行有效的安全测试已成为亟待研究和解决的关键问题.依据渗透测试流程，以输入验证错误漏洞渗透为例，研究工业控制系统终端的渗透测试应用方法.该方法从信息收集和渗透工具入手，对系统输入验证进行深入了解.在漏洞挖掘阶段，提出利用敏感测试输入对该漏洞的形式进行建模，并设计适用于工控程序的种子变异模式.该方法能够有效检测工控系统终端的输入验证错误漏洞，并发现大多数工控系统终端都存在同样的问题.实验中同时发现了由输入验证漏洞所产生的数据篡改、拒绝服务、权限获取和恶意脚本注入等安全威胁.最后为工控系统终端安全保护和设备防护提供了安全防护建议.

参考文献 | 相关文章 | 多维度评价

Select

4. 政务数据安全合规评估要点及实践

陈永刚, 赵增振, 陈岚,

信息安全研究 2022, 8 (11): 1050-.

摘要（355）

PDF （719KB）（298）

随着数字政府建设的深入推进，政务数据安全已成为数字政府的生命线.国家高度重视政务数据的安全风险防范工作，颁布了一系列法律法规和政策文件，对加强政务数据安全管理提出了明确要求.结合政务数据安全合规要求，提出了政务数据安全合规评估方法和指标体系，为政务数据管理者开展政务数据安全合规评估提供参考.

参考文献 | 相关文章 | 多维度评价

Select

5. ChatGPT在网络安全领域的应用、现状与趋势

张弛, 翁方宸, 张玉清,

信息安全研究 2023, 9 (6): 500-.

摘要（268）

PDF （2555KB）（252）

ChatGPT作为一种大型语言模型技术展现出了极强的语言理解和文本生成能力，不仅在各行各业受到巨大的关注，而且为网络安全带来新的变革.目前，ChatGPT在网络安全领域的相关研究仍处于起步阶段，为了使研究人员更系统化地了解ChatGPT在网络安全领域的研究情况，归纳总结了ChatGPT在网络安全领域的应用及其可能伴生的安全问题.首先，概述了大型语言模型技术的发展，并对ChatGPT的技术及其特点进行了简要介绍；其次，从助力攻击和助力防御2个方面详细讨论了ChatGPT在网络安全领域的赋能效应，包括漏洞挖掘、利用和修复，恶意软件的检测和识别，钓鱼邮件的生成和检测以及安全运营场景下的潜在用途；再次，深入剖析了ChatGPT在网络安全领域中的伴生风险，包括内容风险和提示注入攻击，并对这些风险进行了详细分析和探讨；最后，从安全赋能和伴生安全2个角度对ChatGPT在网络安全领域的未来进行了展望，指出了ChatGPT在网络安全领域的未来研究方向.

参考文献 | 相关文章 | 多维度评价

Select

6. 数据安全治理实践

李雪莹, 张锐卿, 杨波, 谢海昌, 马国伟,

信息安全研究 2022, 8 (11): 1069-.

摘要（230）

PDF （5897KB）（208）

数据安全治理写入了《中华人民共和国数据安全法》，同时，数据安全治理也是体系化的网络安全建设中的重点之一.分析了Gantner和微软的数据安全治理理念，结合企业架构、利益攸关者理论、数据流安全评估、成熟度安全评估等方法论，形成一套数据安全治理理念，并设计数据安全管理与运营平台，用于数据安全治理指标的动态监管与数据安全运营.从2018年开始，该方法论和平台已在项目进行实践，解决用户的数据管理与防御体系的建设与优化.

参考文献 | 相关文章 | 多维度评价

Select

7. 新型电力系统数据安全与隐私保护

李建彬, 高昆仑, 彭海朋,

信息安全研究 2023, 9 (3): 206-.

摘要（217）

PDF （513KB）（184）

《“十四五”现代能源体系规划》提出大力构建新型电力系统，推动电力系统向适应大规模高比例新能源方向演进.现阶段，电力系统数字化升级和新型电力系统建设快速迭代，新型电力技术应用和运行模式不断创新，新型电力系统面临的数据安全和隐私泄露问题日益严重.
新型电力系统以传统智能电网为基石,以光伏发电、风力发电等可再生能源发电为综合供给主体,并结合分布式储能系统以及各类复杂的电力设备等.相较于传统电力系统,新型电力系统安全涉及电力流、业务流与信息流的数据安全和隐私保护,数据安全和隐私保护问题成为限制新型电力系统高速发展的约束之一.在《中华人民共和国数据安全法》《关键信息基础设施安全保护条例》《信息安全技术网络安全等级保护基本要求》《中华人民共和国个人信息保护法》等法律法规的要求下，加强新型电力系统政策制度应用和数据安全与隐私保护技术研究，提升系统韧性、弹性和自愈能力，实现核心技术自主可控，构筑新型电力系统稳固的安全防线，是新型电力系统高效建设和长久稳定运行的关键所在.

相关文章 | 多维度评价

Select

8. 一种基于Paillier和FO承诺的新型区块链隐私保护方案

李洋, 王萌萌, 朱建明, 王秀利, 王友卫,

信息安全研究 2023, 9 (4): 306-.

摘要（203）

PDF （934KB）（125）

区块链是一种共享数据库，具有高度去中心化和可追溯性等优良特性.然而，数据泄露仍然是区块链交易的一大难题.为了解决这个问题，提出了带变量k的Paillier同态加密(Paillier homomorphic encryption with variable k, KPH)方案，这是一种新型区块链隐私保护策略，使用RSA公钥加密算法隐藏交易信息，利用FO承诺对交易金额的合法性进行零知识证明，并通过Paillier半同态加密算法的加法同态性更新交易金额.与典型的Paillier算法不同，KPH方案的Paillier算法包含变量k，并结合函数L和中国剩余定理，将算法的时间复杂度从O(|n|2+e)降低到O(logn)，使算法解密过程更加高效.

参考文献 | 相关文章 | 多维度评价

Select

9. 关于二进制程序循环安全问题的研究

马金鑫

信息安全研究 2023, 9 (4): 364-.

摘要（201）

PDF （2829KB）（48）

循环是软件程序中的常见结构，对循环使用不当是造成程序安全问题的重要因素之一，循环安全问题检测对提升软件安全性具有重要意义.在二进制程序中，路径状态爆炸、循环建模等问题使得针对循环安全性的静态分析面临诸多挑战，传统方法对这些问题的处理能力相对不足.提出并实现了一种基于二进制程序静态分析的循环安全问题检测方法，能够对循环内存读写越界与循环不终止问题进行检测.首先，对二进制程序中的循环结构进行分析，提出一种基于控制流图的循环要素识别与提取方法；接着，提出专用于循环分析的多种路径搜索策略，对循环从入口到出口的路径进行排序与探测；然后，提出一种基于静态具体执行的函数建模方法,可有效解决循环中归纳函数调用引发的约束扩张问题.最后，提出一种循环谓词差分归纳分析方法检测二进制程序中由循环引发的安全问题.将该检测方法应用到真实程序中并与Angr作对比实验，结果表明该方法在循环安全问题检测方面具备较强的检测能力，可检测的循环安全问题数比Angr更多.

相关文章 | 多维度评价

Select

10. 数据安全管理职责划分和追责机制探析

艾龙,

信息安全研究 2023, 9 (1): 73-.

摘要（193）

PDF （1038KB）（120）

强化安全意识和责任意识是做好数据安全管理工作的首要条件，人是数据安全建设中最重要的因素，一切数据安全管理规范和措施都是以人为基础的.从数据安全合规视角出发，依据《中华人民共和国数据安全法》(以下简称《数据安全法》)，充分分析企业数据安全保护义务，创新设计了企业数据安全责任矩阵和数据安全事件追责矩阵，为企业提供建设数据安全合规管理体系过程中各利益攸关方所需的关键职能的设计思路，并依据关键职能给出了切实可行的问责方案，可以为各行业各单位落实《数据安全法》、构建数据安全组织建设和事件问责机制提供充分的参考.

参考文献 | 相关文章 | 多维度评价

Select

11. 基于区块链可追溯的个人隐私数据共享技术研究

刘萌, 陈丹伟, 马圣东,

信息安全研究 2023, 9 (2): 109-.

摘要（188）

PDF （1327KB）（114）

互联网的个人隐私数据作为及其重要的信息资源，涉及到一系列安全问题.一般采用集中式或者分布式服务器对个人隐私数据进行集中管理，数据存储不透明，容易出现单点故障、信息盗取等问题.将区块链技术与改进的CPABE算法相结合，采用IPFS(inter planetary file system)对隐私数据进行存储，设计了一种基于改进的CPABE算法的策略灵活的可追溯的个人隐私数据共享方案PPSSBC.该方案支持对泄露私钥的恶意用户进行问责，实现了动态访问控制，证明了方案的安全性.实验分析表明该方案是有效的.

参考文献 | 相关文章 | 多维度评价

Select

12. 大模型技术的网络安全治理和应对研究

高亚楠,

信息安全研究 2023, 9 (6): 551-.

摘要（174）

PDF （1101KB）（129）

随着人工智能技术的不断发展，大模型技术已经成为人工智能领域的重要研究方向，ChatGPT4.0和文心一言等的发布快速推进了这项技术的发展和应用.然而，大模型技术的出现也给网络安全带来新的挑战.将从大模型技术的定义、特点和应用入手，分析大模型技术下的网络安全态势，并提出相应的大模型网络安全治理框架，给出大模型网络安全应对步骤，为大模型网络安全保障工作提供参考.

参考文献 | 相关文章 | 多维度评价

Select

13. 物联网固件漏洞安全检测综述

李涛, 田迎军, 葛阳晨, 田源, 李剑,

信息安全研究 2022, 8 (12): 1146-.

摘要（173）

PDF （1780KB）（178）

随着万物互联时代的到来，物联网的安全问题越来越突出，尤其是物联网中由于固件漏洞引起的安全隐患或攻击行为导致的经济损失越来越大.高效的固件漏洞检测技术越来越成为保障物联网设备安全的关键，因此研究物联网中固件漏洞安全检测相关方法与技术具有重要的理论意义和实用价值.分析了物联网固件安全问题频发的原因，归纳了物联网固件面临的主要安全威胁，针对固件漏洞分析所面临的挑战，综述了现有固件漏洞检测方法.通过对不同方法优势与不足的分析，为进一步提升固件安全缺陷检测方法的智能化、精准化、自动化、有效性、可扩展性提供指导.最后，对物联网固件漏洞安全检测进行了展望.

参考文献 | 相关文章 | 多维度评价

Select

14. 政务数据安全框架构建

余晓斌

信息安全研究 2022, 8 (11): 1061-.

摘要（170）

PDF （1321KB）（181）

随着国家对数据安全的重视不断提升，政务数据作为新时代数字政府的核心资产，不仅会涉及公民个人信息数据，还会涉及政府机构相关的敏感信息等重要数据，因此，政务数据的安全防护保障能力不容忽视.目前国内针对政务数据安全方面的防护机制与研究相对欠缺.从法律法规政策、复杂的业务场景以及新型技术3个层面给政务数据带来的风险进行剖析，结合政务数据的安全管理、安全技术和安全运营3大安全层面，提出符合政务数据安全需求的政务数据安全组织能力框架，为后续政务数据安全保障体系的研究提供思路.

参考文献 | 相关文章 | 多维度评价

Select

15. 人工智能的安全风险与隐私保护

张玉清

信息安全研究 2023, 9 (6): 498-.

摘要（170）

PDF （472KB）（211）

随着信息技术和网络社会的快速发展，人工智能技术已经广泛应用于各个领域，包括医疗保健、金融、交通、军事等，这些领域的安全问题直接关系到人们的生命财产安全.然而，在使用人工智能技术实现智能化的过程中，也面临着算法安全风险、信息安全风险、数据安全风险、网络安全风险、社会安全风险及国家安全风险.

相关文章 | 多维度评价

Select

16. SQL注入攻击检测与防御技术研究综述

王安琪, 杨蓓, 张建辉, 王瑞民,

信息安全研究 2023, 9 (5): 412-.

摘要（170）

PDF （2612KB）（164）

在互联网+时代，数据是互联网最宝贵的资源，攻击者为获取数据库中的重要数据信息常采用SQL注入攻击方式对数据库进行破坏，数据库安全面临的威胁日益严峻.目前有关SQL注入攻击的研究多集中在传统SQL注入攻击上，而缺乏对于隐蔽性更强、危险性更高的新型高级SQL注入技术的认知及相关检测与防御技术的研究.针对这一现象，从SQL注入技术分类出发对传统和高级SQL注入攻击技术及其技术特点进行分析评价；对现有检测与防御技术归纳总结，并对这些方法的优缺点和防御有效性进行评价；最后针对当前研究领域存在的问题进行梳理，为今后的研究方向给出建议.

参考文献 | 相关文章 | 多维度评价

Select

17. 数字孪生城市大数据平台数据流转安全模型研究

张帅, 于忠臣, 刘勇, 顾家乐, 冯词童, 杨建, 靳佑鼎, 应志军,

信息安全研究 2023, 9 (1): 48-.

摘要（166）

PDF （3862KB）（120）

数字孪生城市大数据平台可促进智慧城市数据资源集聚，全面推动政务数据与社会数据的跨领域融合应用，打通数据流通通道，避免孤岛，创新数据管理和共享开放体系与数据交易服务体系.针对城市大数据平台数据来源涉及数据格式种类繁多，且应用数据交换需求多样、系统权限体系复杂、跨域延伸不可控等数字孪生城市数据流转过程中面临的安全难点，提出了基于城市大数据平台的数据流转安全框架.以数据分类分级为基础，依据数据安全流转周期与数据治理安全域的时空维度，构建数据安全流转体系，从而解决数字孪生城市数据多源异构、跨网跨平台交换和共享的安全问题.

参考文献 | 相关文章 | 多维度评价

Select

18. 区块链技术在政务领域的应用探索

朱典

信息安全研究 2022, 8 (12): 1223-.

摘要（165）

PDF （3627KB）（167）

区块链作为新一代信息技术之一，在促进数据共享利用、优化业务流程环节、提升多方协同效率、降低总体运营成本、建立可信生态体系等方面具有较大的技术优势，为实现电子政务业务数据可信流通共享、安全资产信息防护、跨部门协同监管提供了能力新范式.设计了一种全新的区块链技术架构体系，通过构建区块链服务中台、政务应用链服务平台和政务安全链服务平台，在全省赋能多个试点应用，以实现对业务及多链数据资源进行盘点、联接、规范管理，构成基础的“数据资产”管理体系.

参考文献 | 相关文章 | 多维度评价

Select

19. 云计算场景商用密码应用研究

彭浩楠, 唐明环, 查奇文, 王伟忠, 王聪,

信息安全研究 2023, 9 (4): 375-.

摘要（165）

PDF （3447KB）（145）

云计算使用户通过网络获取信息通信技术资源服务，这种的新型信息处理方式正在成为信息技术产业发展的必然趋势.用户、数据、信息资源高度集中、对云平台服务连续性的高度依赖、虚拟化的资源可扩展性等特点为云计算带来不可避免的安全风险.因此，如何利用商用密码技术防范云计算的安全风险成为当前的研究热点.从云计算网络架构切入，分析了云计算的密码应用需求，在此基础上设计了相应的云计算场景商用密码应用方案.研究成果为云计算场景下商用密码应用实践提供参考借鉴和理论指导，有望解决云计算安全关键问题.

参考文献 | 相关文章 | 多维度评价

Select

20. 基于深度学习的网络入侵检测研究综述

黄屿璁, 张潮, 吕鑫, 曾涛, 王鑫元, 丁辰龙,

信息安全研究 2022, 8 (12): 1163-.

摘要（164）

PDF （2421KB）（159）

互联网的迅速发展在给用户带来巨大便利的同时，也引发了诸多安全事故.随着零日漏洞、加密攻击等网络攻击行为日益增加，网络安全形势愈发严峻.入侵检测是网络攻击检测的一种重要手段.近年来，随着深度学习技术的持续发展，基于深度学习的入侵检测系统逐渐成为网络安全领域的研究热点.通过对文献的广泛调查，介绍了利用深度学习技术进行网络入侵检测的最新工作.首先，对当前网络安全形势及传统入侵检测技术进行简要概括；然后，介绍了网络入侵检测系统中常用的几种深度学习模型；接着，总结了深度学习中常用的数据预处理技术、数据集以及评价指标；再从实际应用的角度介绍了深度学习模型在网络入侵检测系统中的具体应用；最后，讨论了目前研究过程中面临的问题，提出了未来的发展方向.

参考文献 | 相关文章 | 多维度评价

Select

21. 个人信息保护路径的比较研究

朱晶晶

信息安全研究 2023, 9 (2): 146-.

摘要（160）

PDF （1172KB）（104）

从文化比较的视角来看，不同国家或地区对公民个人信息保护的路径有所差异.但是，同处信息时代，受到信息的社会性和分享性特征的影响，个人信息保护路径的目标与倾向又呈现出共性.我国新出台的《中华人民共和国个人信息保护法》(以下简称《个人信息保护法》)中，国家安全主导的思维仍然居于重要地位，在审查过程中，面临着个人信息保护与数据利用的裁量与抉择.借鉴其他国家的有益经验，结合中国的本土国情，我国在审查和解释《个人信息保护法》时，要将公共利益作为标准来衡量保护个人信息权益还是促进信息利用，认清信息的本质，构建信息数据分享流通机制，将信任原则纳入到《个人信息保护法》中，在个人信息保护路径上给出中国方案.

参考文献 | 相关文章 | 多维度评价

Select

22. 论个人信息删除权：特性、困境及完善路径——以新冠疫情防控为视角

石俊智

信息安全研究 2023, 9 (4): 356-.

摘要（157）

PDF （1078KB）（70）

个人信息删除权是《中华人民共和国个人信息保护法》规定的个人在个人信息处理过程中享有的重要权利.个人信息删除权兼具公私法属性.从新冠疫情的突发公共卫生事件性质以及我国在疫情防控期间出台的相关规范性文件可知，当前的社会状态实质上可以等同于紧急状态.在此社会背景下，将个人信息删除权认定为公法上的权利能够有效发挥防御权、客观法功能，进而通过公权力的保护义务保障个人信息权益.在这种逻辑路径下，通过设立“个人请求公权力机关通知”的模式，利用政府信息公开制度公开个人信息处理标准，完善个人信息删除权的制度设计，解决实践中存在的新冠病毒感染者行权成本高、个人信息处理者义务履行难的问题.

参考文献 | 相关文章 | 多维度评价

Select

23. 数据安全与隐私计算

祝烈煌, 刘哲理

信息安全研究 2022, 8 (10): 954-.

摘要（151）

PDF （504KB）（160）

当今社会已经步入数字经济时代，数据作为5大生产要素之一在各行各业的价值越来越重要.打破数据孤岛、实现互联互通和数据信息共享是实现数据价值的重要前提.然而，在数据流转的过程中由于数据的使用者不再局限于其所有者本人，在重视数据使用价值的同时需要关注数据的安全性，特别是数据涉及的隐私性.近年来我国数据立法进程不断加快，《中华人民共和国网络安全法》《中华人民共和国数据安全法》等法案逐步完善了我国数据相关立法的顶层设计，着重强调了数据流通过程中的数据安全和个人信息保护.安全的数据流通逐渐成为各级政府、企业单位和广大民众关注的重点.各项政策法规的不断完善，一方面建立了数据安全保障制度的基本框架和数据处理者的基本义务，另一方面完善了数据产业发展、政务数据开放的促进机制.

相关文章 | 多维度评价

Select

24. 数据安全共享技术发展综述及在能源电力领域应用研究

余晗, 梁音, 宋继勐, 李何筱, 奚溪, 原洁璇,

信息安全研究 2023, 9 (3): 208-.

摘要（150）

PDF （2019KB）（130）

数据要素的流通共享与协同应用是数字时代中数据要素市场培育的核心内容，数据安全共享技术能够有效实现数据的安全共享，避免“数据孤岛”现象、隐私泄露事件等.对国内外数据安全共享技术研究成果及进展进行了全面综述.首先，概述了数据安全共享技术的发展与演进历程，然后从技术特点、解决问题、优缺点等方面对比分析了现有数据安全共享解决方案，并总结了其依赖的关键技术及面临的风险挑战；其次，讨论了数据安全共享技术在电力能源交易、电力物联网、电动汽车等能源电力领域典型场景的应用，为能源电力领域数据合规与治理提供新的思路与启示；最后，展望了数据安全共享技术在能源电力领域应用的未来研究方向及发展前景.

参考文献 | 相关文章 | 多维度评价

Select

25. 跨境数据流动治理进展研究

沈传年

信息安全研究 2023, 9 (7): 624-.

摘要（145）

PDF （1036KB）（43）

跨境数据流动在推动全球数据资源共享的同时也不可避免地威胁着数据主权与国家安全，以跨境数据流动治理为博弈点的国际数据话语权的争夺将成为未来国际社会竞争的重点.介绍了跨境数据流动的背景知识和制约因素，调研并比较了美国、欧盟、俄罗斯、日本、澳大利亚等国家和组织的跨境数据流动治理模式，分析了我国当前跨境数据流动治理的政策现状以及面临的挑战，在此基础上，从推进跨境数据流动分级分类监管、创新发展跨境数据流动治理模式、完善应对域外“长臂管辖”的反制措施、积极参与并主导国际治理规则制定等方面，对我国数据主权视角下的跨境数据流动治理提出对策建议.

参考文献 | 相关文章 | 多维度评价

Select

26. 全球6G发展竞争态势研究及趋势研判

林梓瀚, 游祎, 魏伟,

信息安全研究 2022, 8 (11): 1135-.

摘要（138）

PDF （897KB）（57）

当前，西方国家率先布局6G领域，力图继续维护其未来通信领域的技术优势.为维护技术霸权.美国旨在提高未来6G领域的国际领导力，出于“技术主权”的战略考虑，欧盟抢先布局6G赛道，日韩、五眼国家等美国盟友紧随欧美步伐，推进其6G发展步伐.这将加剧全球6G“科技竞赛”，加大数字鸿沟.同时，拜登政府上台后，基于现实主义外交政策将继续形成围堵中国的6G地缘政治格局，未来国际6G标准话语权争夺将“白热化”.为了应对未来全球6G发展的竞争态势，我国应加快6G整体战略制定步伐，继续加强国际产业布局以及积极参与国际6G标准制定，推动我国未来6G发展.

参考文献 | 相关文章 | 多维度评价

Select

27. 大型语言模型内容检测算法和绕过机制研究

叶露晨, 范渊, 王欣, 阮文波,

信息安全研究 2023, 9 (6): 524-.

摘要（133）

PDF （1924KB）（116）

近年来，大型语言模型(large language model, LLM)技术兴起，类似ChatGPT这样的AI机器人，虽然其内部设置了大量的安全对抗机制，攻击者依然可以精心设计问答，绕过这些AI机器人的安全机制，在其帮助下自动化生产钓鱼邮件，进行网络攻击.这种情形下，如何鉴别AI生成的文本也成为一个热门的问题.为了开展LLM生成内容检测实验，从互联网某社交平台和ChatGPT收集了一定数量的问答数据样本，依据AI文本可获得条件的不同，研究提出了一系列检测策略，包含基于在线可获取AI对照样本的文本相似度分析、基于离线条件下使用统计差异性的文本数据挖掘分析、基于无法获得AI样本条件下的LLM生成方式对抗分析以及基于通过微调目标LLM模型本身构建分类器的AI模型分析，计算并比较了每种情况下分析引擎的检测能力.另一方面，从网络攻防的角度，针对检测策略的特点，给出了一些对抗AI文本检测引擎的免杀技巧.

参考文献 | 相关文章 | 多维度评价

Select

28. 基于Stacking集成学习的区块链异常交易检测技术研究

王志强, 王姿旖, 倪安发,

信息安全研究 2023, 9 (2): 98-.

摘要（131）

PDF （4463KB）（92）

摘要为了高效地进行区块链异常交易检测，提出了一种基于Stacking集成学习的区块链异常交易检测方法.首先，采用XGBoost，LightGBM，CatBoost，LCE作为基分类器，采用MLP作为元分类器，设计了MLP_Stacking集成学习算法；其次，利用SUNDO进行数据扩充，解决数据集中严重类不均衡问题；最后，设计多模型联合特征排序算法，生成最优特征子集，将得到的最优特征子集作为MLP_Stacking输入数据集进行分类训练，通过网格搜索优化参数实现模型优化.实验采用Kaggle平台提供的开源数据集，实验结果显示采用SUNDO数据生成方法能有效提高各分类器性能，在此基础上，设计的集成模型训练效果明显优于单个模型.

参考文献 | 相关文章 | 多维度评价

Select

29. 交通运输领域数据安全技术框架研究与思考

贺志生, 张远云, 董绍岩,

信息安全研究 2022, 8 (11): 1092-.

摘要（125）

PDF （1237KB）（117）

近年来，在“数字政府”建设的不断推进过程中，政府部门之间的“数据鸿沟”“数据孤岛”现象逐渐被打破，数据作为数字政府的核心资源，是国家发展的重要原生动力，也是最有价值的核心资产.随着各类数据资源的大量汇聚、整合共享，延伸出一系列数据安全相关问题，如因数据高度集中导致数据更容易成为攻击的目标，内部人员的大量违规操作导致数据篡改、极大程度增加数据在流动和共享交换过程中数据泄露风险等.为了解决交通运输领域数据安全的问题，对交通技术运输领域面临的数据安全主要挑战进行了深入分析，提出打造“数据安全管控整体技术体系架构”，重点围绕交通运输领域的数据全生命周期安全和数据安全运营进行思考和探讨，数据安全管理不在此讨论范围内.

参考文献 | 相关文章 | 多维度评价

Select

30. 移动存储设备跨平台加密技术研究与实现

张帅, 刘勇, 孔坚, 冯词童, 安锦程, 白鑫, 高晓红,

信息安全研究 2023, 9 (3): 271-.

摘要（124）

PDF （3407KB）（66）

当前,移动存储设备造成的数据泄露问题日益严重，虽然基于硬件的加密移动存储设备可以有效地进行控制，但是目前市场上流行的加密一定程度上都属于硬件加密，成本高而且加密算法单一，对存储的容量有一定限制，且严重依赖出厂物理硬件；随着以UOS、麒麟等为代表的信创系统崛起和广泛应用，传统在Windows下的基于加密移动存储设备在信创系统和Linux等系统下便无法使用，因此提出了一种跨平台下对移动存储设备进行软件加解密技术方案.在该方案下，注册加密存储数据区经过人机交互界面口令认证才能被系统识别，数据的加解密均是透明无感知的，注册过的移动存储设备,在纯净Windows系统、信创系统(UOS、麒麟等)、纯净Linux系统等环境下，用户体验和存储数据都是一致的.该系统创新性地解决了移动存储设备经加密后在不同系统下的兼容问题，利用加解密技术增强了原数据裸存下的安全性，防止数据泄露事件发生，保护用户的数据安全.

参考文献 | 相关文章 | 多维度评价

Select

31. 建立中国石化网络安全风险管控和处置机制研究

顾磊

信息安全研究 2022, 8 (11): 1141-.

摘要（122）

PDF （2857KB）（82）

新时代下的网络安全已经不再是单打独斗，尤其是针对某一类行业而言，能源、化工、电力等行业也逐渐成为国外黑客组织的重要打击目标.所以在未来的防御能力建设上需要行业内各部门联合起来一致对外，实现行业内的威胁情报共享.但是作为央企内部首先要做好自身的联防联控，在中国石化内部首先实现情报共享、威胁联动和应急处置.中国石化认真贯彻落实国家风险防范化解的工作部署要求，强化内部网络安全管控体系建设，严格把控信息系统设计和建设阶段与内控的结合，不断强化信息化刚性约束.网络安全管理与网络安全防护技术并重，以管理为先导、以技术为支撑，共同编织中国石化的网络安全防护大网，有效抓实网络安全工作，形成网络安全内生聚合力，打造中国石化“5+2”的网络安全风险联防联控机制，推动整体网络安全和信息化工作的协调发展.

参考文献 | 相关文章 | 多维度评价

Select

32. 基于APT组织攻击行为的网络安全主动防御方法研究

殷树刚, 李祉岐, 刘晓蕾, 李宁, 林寅伟,

信息安全研究 2023, 9 (5): 423-.

摘要（121）

PDF （2792KB）（122）

当前国际形势复杂多变，国内社会转型期不断产生新的社会冲突和矛盾，各敌对势力妄图破坏我国关键信息基础设施，造成不良社会影响.现有基于已发生的网络攻击进行检测防御的防御措施缺乏灵活性，且对防御体系的全面性要求极高.因此，提出一种基于攻击行为的电力行业网络安全主动防御方法.经实验验证，该方法通过对攻击者的攻击行为进行分析，结合 ATT&CK攻击框架模型，针对高级可持续性威胁(advanced persistent threat, APT)组织通过大量跳板节点层层转发进行间断性的攻击尝试，直到找到突破口和跳板节点，在攻击前或者攻击中可能出现行为和结果的问题，提前发现攻击者的各级跳板、组织或个人信息，在攻击者实施踩点阶段提前发现攻击行为，预先阻断，实现了对攻击行为的主动防御.

参考文献 | 相关文章 | 多维度评价

Select

33. 基于区块链的能源数据共享访问控制方案

余晗, 李俊妮, 刘文思, 宣东海,

信息安全研究 2023, 9 (3): 220-.

摘要（120）

PDF （1400KB）（106）

针对传统的能源数据共享模型中存在的能源企业部门间访问控制中心化、访问透明度低和效率低等问题，提出一种基于区块链的能源数据共享访问控制方案.首先，设计了基于区块链和能源数据分级的访问控制模型，以零信任的“永不信任，始终验证”为原则，将区块链与基于属性的访问控制(attributebased access control, ABAC)相结合，利用区块链智能合约保证访问控制自动可信的判决，利用ABAC实现以属性为决定因素的细粒度访问控制；其次，对能源数据进行分级，体现其资源的隐私程度，设计相应的访问控制策略.实验结果表明，该方案能够保证在大规模访问控制策略下，能源数据实现可控共享.

参考文献 | 相关文章 | 多维度评价

Select

34. 基于联邦学习和同态加密的电力数据预测模型本地保护

陈嘉翊, 孙晨雨, 周欣桐, 胡志广,

信息安全研究 2023, 9 (3): 228-.

摘要（119）

PDF （2070KB）（59）

电力数据的准确、快速预测不仅对电力系统的稳定、正常运行至关重要，也会对整个社会的生产生活产生重大影响.因此，高效、准确地预测电力数据是电力数据研究中的一项重要工作.循环神经网络在电力数据预测问题上具有优异的表现，但是需要大量数据来训练模型.各大电力公司出于隐私安全问题的考虑，并不愿意共享各自的电力数据，从而无法训练出更加精确的模型.此外，在海量数据上传到中央服务器对联合模型进行训练的过程中会产生巨大的网络资源开销.针对这些问题，将联邦学习与Paillier同态加密算法相结合，提出了基于联邦学习和同态加密的电力数据预测模型本地保护方法.实现了对电力数据和本地模型参数的保护，在安全的状态下对联合模型进行共同训练.使用真实的电力数据进行了实验，该方法取得了良好的实验结果.

参考文献 | 相关文章 | 多维度评价

Select

35. 基于文本关键词的对抗样本生成技术研究

王志强, 都迎迎, 林雨衡, 陈旭东,

信息安全研究 2023, 9 (4): 338-.

摘要（116）

PDF （2165KB）（52）

深度学习模型已被广泛应用于处理自然语言任务，但最新研究表明对抗攻击会严重降低分类模型的准确率，使模型分类功能失效.针对深度学习模型处理自然语言任务时出现的脆弱性问题，提出一种新的对抗样本生成方法KeywordsAttack.该方法利用统计算法选择部分字词组成文本关键词集合，再根据关键词对模型分类结果贡献度大小进行迭代替换，直到成功误导分类模型或替换次数达到设定阈值.该方法针对中文的特点采用汉字拆分、拼音替换的方式生成对抗样本.最后，采用公开酒店购物评论数据集进行实验.实验结果表明，利用KeywordsAttack方法生成的对抗样本平均修改幅度占原始文本的18.2%，攻击BERT模型分类准确率约降低43%，攻击LSTM模型分类准确率约降低30%.该数据表明KeywordsAttack方法可以通过对文本进行较小的扰动成功误导分类模型，同时生成对抗样本过程中访问模型次数较少.

参考文献 | 相关文章 | 多维度评价

Select

36. 元宇宙领域潜在安全风险分析

郑丽, 何洪流,

信息安全研究 2023, 9 (5): 490-.

摘要（114）

PDF （1635KB）（83）

元宇宙的诞生与爆发是全球数字化转型加速的结果.其作为网络虚拟化进程的最终形态，成为人类文明演化进程的重要历史性节点.但是元宇宙的发展也带来一系列的安全风险.监管部门对元宇宙的治理需注重与现实社会的嵌套耦合关系，避免成为完全虚拟的梦宇宙.通过对元宇宙政治、社会、文化及网络方面的安全风险分析，提出一些网络治理建议，使得元宇宙成为现实社会的有益延伸和补充.

参考文献 | 相关文章 | 多维度评价

Select

37. 政务信息系统商用密码集约化平台设计与实现

白荣华, 魏强, 郭瑞, 刘金,

信息安全研究 2023, 9 (5): 461-.

摘要（113）

PDF （2467KB）（98）

针对电子政务领域密码应用不便捷、不规范、不通用、资源浪费的问题，提出一种体系化、集约化、规范化的技术方案.该方案组合国密SM2,SM3,SM4,SM9算法，形成了集约化的体系框架.将密码基础设施池化，减少信息系统应用密码的负担，提供密码应用统一接口，实现合规、有效、便捷的密码应用.电子政务外网商用密码集约化平台建设试点应用实践表明，该方案可提高密码资源利用率，节省投资，对规模级政务信息系统商用密码应用安全保护具有参考价值.

参考文献 | 相关文章 | 多维度评价

Select

38. 基于注意力机制的图神经网络加密流量分类研究

喻晓伟, 陈丹伟,

信息安全研究 2023, 9 (1): 13-.

摘要（113）

PDF （1994KB）（106）

对于加密流量的精确化识别，现有的基于机器学习和基于图的解决方案需要人工进行特征选择或者精度较低.使用一种基于图神经网络的加密流量识别方法，通过将网络流量数据转换为图数据，保留了网络数据流的丰富表示，将网络流量分类问题转换为图分类问题.并设计了一个基于自注意力机制的图分类模型进行加密流量的分类.实验结果表明，该方法对基于安全套接层(secure socket layer, SSL)的虚拟专用网(virtual private network, VPN)加密流量具有较好的分类效果，分类准确率有较大提高.

参考文献 | 相关文章 | 多维度评价

Select

39. 联邦学习的个人信息保护合规分析框架

朱悦, 庄媛媛,

信息安全研究 2023, 9 (2): 162-.

摘要（112）

PDF （2531KB）（83）

联邦学习在个人信息保护意义下的合规分析需进一步完善，尤其需要技术与法律更紧密结合.故建立识别适用规定、定性数据流、识别处理行为、定性主体身份、识别责任义务和合规风险分析6步骤合规分析框架.框架对经典的横向纵向联邦学习架构足以给出具体、与适用规定存在紧密逻辑关系的合规结论；并可推广至其他架构或隐私计算技术合规分析；可融入其他国家或地区的合规要求；有助于满足《中华人民共和国个人信息保护法》对个人信息处理影响评估的要求.最后，基于框架及其分析结论，对联邦学习的个人信息保护标准制定提出建议.

参考文献 | 相关文章 | 多维度评价

Select

40. 运营商数据安全合规检查技术研究与实践

安鹏, 李宏飞, 高铭, 王世彪, 喻波,

信息安全研究 2023, 9 (7): 643-.

摘要（111）

PDF （889KB）（75）

在全球数字经济发展的大背景下，数据已成为企业的重要资产.我国将数据定位为国家基础战略性资源和社会生产创新要素之一.近年来黑客勒索攻击的泛滥对企业数据安全管理造成很大的数据泄露风险，员工在生产过程中无意识的数据分享操作也是当前企业数据资产泄露的重要途径之一.随着《中华人民共和国数据安全法》的颁布，监管机构把数据安全审查作为运营商行业安全检查的内容.因此基于监管合规性，研究相关检查技术并进行实践，从而帮助运营商增强安全检查能力，保障数据安全，满足合规监管与业务发展需要.

参考文献 | 相关文章 | 多维度评价

摘要点击排行